Slevová nabídka pro více licencí
Databáze hrozeb Zadní vrátka SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

V roce Mezo v roce Zadní vrátka, Pokročilá trvalá hrozba (APT)
Přeložit do:
Čeština

V roce 2023 se po sofistikovaném útoku na dodavatelský řetězec na jihokorejského poskytovatele VPN objevila na radaru kybernetické bezpečnosti dříve nezdokumentovaná skupina Advanced Persistent Threat (APT) PlushDaemon napojená na Čínu. Tento útok zahrnoval nahrazení legitimního instalačního programu kompromitovanou verzí a nasazení jejich podpisového implantátu SlowStepper.

SlowStepper: Všestranná zadní vrátka v arzenálu PlushDaemon

Ústředním bodem operací PlushDaemon je SlowStepper, zadní vrátka s bohatými funkcemi, která se může pochlubit sadou nástrojů s více než 30 komponentami. Tato zadní vrátka, napsaná v C++, Pythonu a Go, slouží jako primární nástroj skupiny pro špionáž a narušení. SlowStepper se vyvíjí minimálně od roku 2019, vyvíjí se v několika iteracích, přičemž jeho nejnovější verze byla zkompilována v červnu 2024.

Unesené kanály: klíč k počátečnímu přístupu

Útočná strategie PlushDaemon často využívá zranitelnosti webových serverů a unáší legitimní kanály aktualizace softwaru. Skupina získala počáteční přístup vložením nebezpečného kódu do instalačního programu NSIS softwaru VPN distribuovaného prostřednictvím webové stránky 'ipany.kr'. Kompromitovaný instalační program současně dodal legitimní software a zadní vrátka SlowStepper.

Cílový rozsah a viktimologie

Útok potenciálně ovlivnil jakoukoli entitu stahující nastražený instalační program. Důkazy ukazují pokusy nainstalovat kompromitovaný software do sítí spojených s jihokorejskou polovodičovou společností a neidentifikovaným vývojářem softwaru. První oběti byly identifikovány v Japonsku a Číně koncem roku 2023, což odráží široký dosah skupiny.

Komplexní útočný řetězec: SlowStepper's Deployment

Útok začíná spuštěním instalačního programu ('IPanyVPNsetup.exe'), který nastaví persistenci a spustí zavaděč ('AutoMsg.dll'). Tento zavaděč zahájí spuštění shell kódu, extrahování a boční načítání nebezpečných souborů DLL pomocí legitimních nástrojů, jako je 'PerfWatson.exe.' Poslední fáze zahrnuje nasazení SlowStepper z neškodně pojmenovaného souboru ('winlogin.gif').

Zmenšená verze: SlowStepper Lite

Výzkumníci identifikovali 'Lite' variantu SlowStepper použitou v této kampani, která obsahuje méně funkcí než plná verze. Navzdory tomu si zachovává významné schopnosti, které umožňují komplexní dohled a sběr dat prostřednictvím nástrojů hostovaných na GitCode, čínském úložišti kódu.

Command-and-Control: Vícestupňový přístup

SlowStepper využívá robustní vícestupňový protokol Command-and-Control (C&C). Nejprve požádá servery DNS o záznam TXT, aby získal IP adresy pro komunikaci. Pokud se to nezdaří, vrátí se k sekundární metodě pomocí rozhraní API k vyřešení záložní domény.

Špionáž v měřítku: Modulární schopnosti SlowStepper

Backdoor SlowStepper je vybaven širokou řadou nástrojů pro sběr informací, které mu umožňují shromažďovat data z:

  • Oblíbené webové prohlížeče – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser a Mozilla Firefox
  • Pořizujte snímky a nahrávejte obrazovky.
  • Shromažďujte citlivé dokumenty a data aplikací – txt, .doc, .docx, .xls, .xlsx, .ppt a .pptx a také informace z aplikací jako LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin a ToDesk.
  • Zachyťte chatové zprávy z platformy DingTalk.
  • Získejte balíčky Pythonu, které nejsou škodlivé.
  • FileScanner a FileScannerAllDisk analyzují systém a vyhledávají soubory.
  • getOperaCookie extrahuje soubory cookie z prohlížeče Opera.
  • Poloha identifikuje IP adresu počítače a GPS souřadnice.
  • qpass shromažďuje informace z prohlížeče Tencent QQ Browser, který může být případně nahrazen modulem qqpass.
  • qqpass a Webpass shromažďují hesla z různých prohlížečů, včetně Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome a UC Browser.
  • ScreenRecord zachycuje záznamy obrazovky.
  • Telegram získává informace z telegramu.
  • WeChat načítá data z platformy WeChat.
  • WirelessKey shromažďuje podrobnosti o bezdrátové síti a související hesla.

Mezi jedinečné funkce patří možnost spouštět vlastní shell pro spouštění vzdáleného užitečného zatížení a moduly Pythonu pro konkrétní úlohy.

Zaměření na špionáž a krádež dat

Modulární design zadních vrátek umožňuje cílený sběr dat, jako jsou chatové zprávy z DingTalk a WeChat, hesla prohlížečů a data o umístění systému. Další nástroje podporují funkci reverzního proxy a stahování souborů, čímž vylepšují jeho špionážní schopnosti.

Rostoucí hrozba: PlushDaemon's Evolution

Rozsáhlá sada nástrojů PlushDaemon a jeho závazek k neustálému vývoji z něj činí impozantní entitu. Operace skupiny od roku 2019 zdůrazňují jasné zaměření na vytváření sofistikovaných nástrojů, což z ní činí významnou hrozbu v prostředí kybernetické bezpečnosti.

Závěr: Ostražitost proti vznikajícím hrozbám

Útoky na dodavatelský řetězec a pokročilé schopnosti PlushDaemon podtrhují důležitost bdělosti v komunitě kybernetické bezpečnosti. Zacílením na důvěryhodné distribuční kanály softwaru skupina prokázala svou schopnost infiltrovat sítě a provádět složité špionážní kampaně.

Trendy

Nejvíce shlédnuto

Načítání...